Технологии EMC и RSA для построения решений, удовлетворяющих требованиям PCI DSS Александр Чигвинцев RSA
Технологии EMC и RSA для построения решений, удовлетворяющих требованиям PCI DSS
Александр ЧигвинцевRSA
2
RSA – подразделение информационной безопасности
компании EMC
3
Рождение компании …
Ronald L. Rivest
Adi Shamir
Leonard Adleman
RSA public-key algorithm invented
by MIT professors Rivest, Shamir,
and Adleman in 1977 “Digital
Signatures and Public Key
Cryptosystems"
4
Примерно три десятилетия в сфере идентификации и управления доступом
Вошла в состав EMC Corp. В сентябре 2006
Более 25,000 клиентов с мировыми именами
• 90% из списка Fortune 100, 70% из списка Fortune 500
Ведущее положение на рынке средств жесткой двухфакторной аутентификации
Более 1 млрд.продуктов и/или лицензий на основе технологий RSA Security продано в мире
Ключевые инициативы в индустрии безопасности принадлежат RSA Security, например, RSA Conference, RSA Laboratories and RSA Press
Лидерство в области информационной безопасности
5
Широкий спектр продуктов и услуг
6
Стандарт PCI DSS
7
В мире в среднем раз 79 сек. происходи кража персональных данных!
*Source: FTC**Source: Visa Survey
Потеря времени Потеря Денег Потеря доверияПотеря времени Потеря Денег Потеря доверия
* 300 Млн. час/Год * $55 Млрд/Год ** Сокращение транзакций
на ~25%
Потребители Торговля Банки Услуги
8
Регулярно появляются сообщения о инцидентах связанных с пластиковыми картами
9
Необходимо повышать безопасность финансовых транзакций
2004 год. Payment Card Industry Data Security Standard (PСI DSS, стандарт защиты информации в индустрии платежных карт)
Разработан PCI Security Standards Council: American Express, Discover Financial Services, JCB, MasterCard Worldwide, Visa International
Предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами
C 2008 года обязателен в России
10
Требования PCI DSS
Создание и поддержка безопасной сетевой инфраструктуры
Требование 1: Разработать и обеспечить поддержку конфигураций межсетевых экранов для защиты данных о держателях карт
Требование 2: Не использовать установленные производителем системные пароли и иные параметры безопасности
Защита данных о держателях карт
Требование 3: Обеспечить безопасность хранимых данных о держателях карт
Требование 4: Шифровать данные о держателях карт при передаче их через открытые общедоступные сети
Поддержка программы управления уязвимостями
Требование 5: Использовать и регулярно обновлять антивирусное программное обеспечение
Требование 6: Разработать и поддерживать безопасные системы и приложения
Внедрение усиленных средств управления доступом
Требование 7: Ограничить доступ к данным о держателях карт только служебной необходимостью
Требование 8: Назначить уникальный идентификатор каждому лицу, имеющему доступ к компьютерной сети
Требование 9: Ограничить физический доступ к данным о держателях карт
Регулярный мониторинг и тестирование сетевой инфраструктуры
Требование 10: Отслеживать и контролировать любой доступ к сетевым ресурсам и данным о держателях карт
Требование 11: Регулярно проверять системы и процессы обеспечения безопасности
Поддержка Политики информационной безопасности
Требование 12: Поддерживать политику, определяющую правила информационной безопасности для сотрудников и партнеров
11
Технологии EMC&RSA обеспечивающие выполнение
требований PCI DSS
12
Один вендор RSA не может обеспечить выполнения всех требований (пример – рекомендованная Cisco архитектура под PCI)
Апробированное решение
Уровень Центров обработки данных
Руководство по проектированию и внедрению
RSA enVision
RSA File Security Manager
RSA Key Manager
RSA SecurID
1414
Understanding Your PCI Compliance and Preparing for an Audit
Card Data Discovery PCI Cardholder Data Discovery Service
PCI Pre-Assessment and Gap Analysis PCI Pre-Assessment and Gap Analysis Service
Addressing PCI DSS Requirements
Req. 1: Install and maintain a firewall EMC Smarts, EMC VoyenceControl
reporting: RSA enVision
Req. 2: Do not use default passwords EMC Smarts, EMC VoyenceControl
reporting: RSA enVision
Req. 3: Protect stored card data RSA Key Manager, RSA File Security Manager, RSA DLP Suite, Partners (e.g., Cisco)
reporting: RSA enVision
Req. 4: Encrypt card data in transit RSA Key Manager, Partners: CipherOptics, EMC VoyenceControl
reporting: RSA enVision
Req. 5: Use and update anti-virus reporting: RSA enVision, EMC Smarts, EMC VoyenceControl
Req. 6: Develop secure systems and applications
Application Security Design and Assessment Service
reporting: EMC VoyenceControl
Req. 7: Restrict access to card data RSA Access Manager, RSA File Security Manager
reporting: RSA enVision
Req. 8: Assign a unique ID RSA SecurID, RSA Digital Certificates
reporting: RSA enVision
Req. 9: Restrict physical access EMC Physical Security Solution, RSA Card Manager
Req. 10: Track and monitor access RSA enVision, EMC Symmetrix, EMC CLARiiON, EMC Centera, EMC Celera, EMC Smarts, EMC Voyence Control
Req. 11: Test security systems, processes EMC Smarts, EMC VoyenceControl
Partners: Accuvant (U.S.), Ezenta (EMEA), Integralis (EMEA, U.S.), Mnemonic (EMEA), Remington (U.S.)
Req. 12: Maintain an information security policy PCI Information Security Policy Service
Соответствие требований PCI и продуктов\технологий RSA/EMC
1515
Understanding Your PCI Compliance and Preparing for an Audit
Card Data Discovery PCI Cardholder Data Discovery Service
PCI Pre-Assessment and Gap Analysis PCI Pre-Assessment and Gap Analysis Service
Addressing PCI DSS Requirements
Req. 1: Install and maintain a firewall EMC Smarts, EMC VoyenceControl
reporting: RSA enVision
Req. 2: Do not use default passwords EMC Smarts, EMC VoyenceControl
reporting: RSA enVision
Req. 3: Protect stored card data RSA Key Manager, RSA File Security Manager, RSA DLP Suite, Partners (e.g., Cisco)
reporting: RSA enVision
Req. 4: Encrypt card data in transit RSA Key Manager, Partners: CipherOptics, EMC VoyenceControl
reporting: RSA enVision
Req. 5: Use and update anti-virus reporting: RSA enVision, EMC Smarts, EMC VoyenceControl
Req. 6: Develop secure systems and applications
Application Security Design and Assessment Service
reporting: EMC VoyenceControl
Req. 7: Restrict access to card data RSA Access Manager, RSA File Security Manager
reporting: RSA enVision
Req. 8: Assign a unique ID RSA SecurID, RSA Digital Certificates
reporting: RSA enVision
Req. 9: Restrict physical access EMC Physical Security Solution, RSA Card Manager
Req. 10: Track and monitor access RSA enVision, EMC Symmetrix, EMC CLARiiON, EMC Centera, EMC Celera, EMC Smarts, EMC Voyence Control
Req. 11: Test security systems, processes EMC Smarts, EMC VoyenceControl
Partners: Accuvant (U.S.), Ezenta (EMEA), Integralis (EMEA, U.S.), Mnemonic (EMEA), Remington (U.S.)
Req. 12: Maintain an information security policy PCI Information Security Policy Service
Соответствие требований PCI и продуктов\технологий RSA/EMC
16
Платформа RSA enVision для Управление событиями и данными систем безопасности(Security Information and Event Management -
SIEM)
17
Корпоративная инфраструктура сегодня:Огромные объемы журналов и огромное количество источников событий
Router logs
IDS/IDP logs
VPN logs
Firewall logs
Switch logs
Windows logs
Client & file server logs
Wireless access
logs
Windows domain logins
Oracle Financial Logs
San File Access Logs
VLAN Access & Control
logs
DHCP logs
Linux, Unix, Windows OS
logs
Mainframe logs
Database Logs
Web server activity logs
Content management logs
Web cache & proxy logs
VA Scan logs
Контроль изменений настроек\конфиграций
Управление доступом и мониторингпривилегированных пользователей
Детектирование вредоносного кода(Spyware)
Мониторинг в реальном времени для
выявления неполадок
Выявление несанкционированных сервисов и “утечки” информации через IP каналы
Уменьшение количества ложных срабатываний
системы безопасности
Мониторинг пользователей
Мониторинг Соглашения о
Качестве обслуживания
SLA
Как собрать и защитить все данные необходимые для
построения системы безопасности, мониторинга ИТ
операций и compliance
Как анализировать и управлять этими данными для
получения значимой оперативной информации
19
Решение: RSA enVisionA 3-in-1 Log Management Platform…
Server Engineering Business Ops. Compliance Audit Application & DatabaseNetwork Ops.Risk Mgmt. Security Ops. Desktop Ops.
…for Compliance, Security and IT & Network Operations
Log Management
Любые корпоративные IP устройства – Universal Device Support (UDS)
No filtering, normalizing, or data reduction
Security events & operational information
No agents required
Соответствие требованиямAccess Control
Configuration ControlMalicious Software
Policy EnforcementsUser Monitoring & ManagementEnvironmental & Transmission
Security
Повышение безопасности & Снижение рисков
Access Control EnforcementSLA Compliance Monitoring
False Positive ReductionReal-time Alerts
Unauthorized Network Service Detection
Privileged User Monitoring
Оптимизация IT & Network OperationsMonitor network assets
Troubleshoot network issues
Assist with Helpdesk operations
Optimize network performance
Gain visibility into user behavior
Build baseline of normal network activity
All the Data
ReportAlert/Correlation
Incident Mgmt.Log Mgmt.
Asset Ident. Forensics
Baseline
20
Один из лучших продуктов на рынкеhttp://russia.emc.com/about/news/press/2008/20080512-02.htm
B-2
RSA enVision: Краткое описание технологии
22
Архитектура RSA enVision
Security event & operations info. No data filtering
Parallel architecture ensures alert performance
No agents requiredFlexible XML UDS engine
Customizable work environmentsFully customizable compliance & security reports
Easy to deploy appliance packaging
23
Поддерживаемые протоколы (агенты для сбора данные не нужны!)
> Syslog, Syslog NG> SNMP > Formatted log files
>Comma/tab/space delimited, other> ODBC connection to remote databases> Push/pull XML files via HTTP> Windows event logging API> CheckPoint OPSEC interface> Cisco IDS POP/RDEP/SDEE
> Syslog, Syslog NG> SNMP > Formatted log files
>Comma/tab/space delimited, other> ODBC connection to remote databases> Push/pull XML files via HTTP> Windows event logging API> CheckPoint OPSEC interface> Cisco IDS POP/RDEP/SDEE
B-2
24
RSA enVision и LogSmart IPDBзапись всех данных с высокой производительностью
Relational DatabaseDat
a Exp
losion
Data Loss • Непредсказуемый объем базы
Ограничения традиционных Реляционных БД
• Плохо подходят для неструктурированных данных (log)
• Требуют дополнительной обработки (filter, normalize, parse)
• Неэффективное хранения: indexes & структурная информация (может увеличить объем хранения в 10 раз)
• Потенциальная опасность потери информации: ограничение производительности системы, нормализация
LogSmart IPDB
Encrypted
Compressed
Parallel analysis
Authenticated
Unpredictable Alerts
25
RSA enVision & The LogSmart IPDB
26
>1100 reports forregulatory compliance,
security, and IT & network operations
Dashboards
RSA enVisionНаглядное представление информации
27
RSA enVisionАвтономное устройство и распределенная конфигурация
EPS
500
1000
2500
5000
10000
30000
# DEVICES
7500
300,000
100 200 400 750 1250 1500 2048 30,000
ES Series
LS Series
28
enVision сайты позволяют формировать географически распределенный конфигурации
A-SRV: Analysis Server
D-SRV: Data Server
LC: Local Collector
RC: Remote Collector
Mumbai
Remote Office
NAS
Chicago
WW Security
Operations
LC
D-SRV
A-SRV
NAS
London
European
Headquarters
D-SRV
LC
NAS
New York
WW Compliance
Operations
A-SRV
D-SRV D-SRV
LC LC
29
I-6
Organization
Security• Configuration Control• Access Control Enforcement• Privileged User Monitoring
Compliance & Security• Real-Time Monitoring• False Positive Reduction• Access Control Enforcement
Compliance• SAS 70 Compliance
Compliance & Security• Log Management• Monitoring Firewalls For Audits
Driver
Compliance• Internal Audit
34
18
28
4
Locations
3
30,000
20,000
28,000
4,000
Devices
17,000
Events
240K/Sec
20B/Day
76.8T/Year
180K/Sec
15.5B/Day
5.6T/Year
450K/Sec
38.8T/Day
148T/Year
80K/Sec
6.9B/Day
2.5T/Year
95K/Sec
8.2T/Day
2.9T/Year
RSA enVision Крупные инсталляции
30© Copyright 2008 EMC Corporation. All rights reserved.
V Международный форум по технологиям хранения и управления
информацией
23 октября 2008 г. Москва, г-ца Рэдиссон САС Славянская
Горячая линия форума: +7 (495) 792-34-26Регистрация: www.emc-forum.ru
31
Thank you!
32
PCI DSS Who Does it Impact?
ANY ORGANIZATION that processes, stores or transmits credit card information
Companies only need to process or store one single credit card transaction to fall under PCI DSS requirements
Card brand classify their merchants into distinct levels
RetailHigher Education
Healthcare
Financial ServicesHospitality, Travel
Entertainment
InsuranceUtilitiesTelecom
Merchant VISA MasterCard
Amex Deadline*
Level 1 6M+ 6M+ 2.5M+ 10/31/07Level 2 1M-2M 150k-6M 50K-2.5M 12/31/07Level 3 20K-1M 20K-150K <50K TBDLevel 4 <20K <20K NA TBD
* US Only
33
Customer Profile: Tier 1 Financial Services• Leading UK-based bill payment and collections specialist
• Hosting over 30 million financial transactions per year for over 750 public and private sector clients in the UK
PCI Challenges• Logging & reporting
• Log retention/management
Selected• RSA enVision
Results• Able to collect, correlate and analyse security and compliance information across the
organisation
• Able to track and monitor access to network resources and cardholder data.
• Able to easily create and automate compliance reports
• “We now know exactly who has accessed customer' data, while ensuring that an accurate audit trail is captured and saved to the RSA Envision appliance.”
PCI DSS Case Study: Tier 1 Financial Services